You are currently viewing Windows Hello biometrikus hitelesítés sebezhetősége: Dell, Lenovo és Microsoft laptopok érintettek
Fotó: Unsplash / Its me Pravin

Windows Hello biometrikus hitelesítés sebezhetősége: Dell, Lenovo és Microsoft laptopok érintettek

  • Post author:
  • Post category:Tech
Hirdetések
tradingview 250

Egy új kutatás rávilágított több sebezhetőségre, amelyek kihasználhatók a Windows Hello azonosításának kijátszásához olyan laptopokon, mint a Dell Inspiron 15, a Lenovo ThinkPad T14 és a Microsoft Surface Pro X. A Blackwing Intelligence nevű biztonsági kutatócég fedezte fel a hibákat a Goodix, Synaptics és ELAN ujjlenyomat-érzékelőkben, melyeket ezekben az eszközökben találtak.

A kutatók szerint a sebezhetőségek előfeltétele, hogy a célpontként kiválasztott laptopok felhasználói már beállították az ujjlenyomat-hitelesítést. Az érzékelők mindegyike egy “chipen találkozó” típusú érzékelő, amely összeintegrálja a biometrikus funkciókat. A kutatók rámutattak arra, hogy bár a “match on chip” (MoC) megakadályozza a tárolt ujjlenyomat-adatok ismételt lejátszását, a rosszindulatú érzékelő még mindig képes lehet egy jogos érzékelő kommunikációjának meghamisítására.

Az ELAN-érzékelő sebezhetősége abból ered, hogy nem támogatja az end-to-end biztonságos csatornát, így bármely USB-eszköz képes lehet álruhába bújni és egy jogos felhasználó bejelentkezését szimulálni. A Synaptics esetében az SDCP alapértelmezés szerint kikapcsolva van, és egy hibás TLS-veremre támaszkodik az USB-kommunikáció biztosításához, amit ki lehet használni a biometrikus hitelesítés kijátszására.

Hirdetések

A Goodix érzékelő kihasználása a Windows és Linux közötti alapvető különbségre épül. A támadás során a Linux rendszer hiánya miatt a rosszindulatú szereplő képes azonosítókat felsorolni és azokat felhasználni a hitelesítés megkerüléséhez.

Az ilyen támadások ellen védekezésként az eredeti felszerelési gyártóknak (OEM) javasolják az SDCP engedélyezését és az ujjlenyomat-érzékelő implementáció független szakértők általi auditálását. Ez azonban nem az első eset, hogy a Windows Hello biometrikus azonosítását sikerült kijátszani, és a kutatók szerint bár a Microsoft jó munkát végzett az SDCP tervezésével, az eszközgyártók néhány célt félreértenek, és az SDCP csak a készülék működésének szűk területét fedi le.

Ez is érdekelhet:

Forrás

Hirdetések
whitepress magyar banner

Nagy Béla

Kezdő szövegíró, és marketinges aki imádja a technológia világát. Kedvencei közé tartoznak az okostelefonok, és a számítógépek. De bármilyen Bluetooth-os kütyüvel eljátszik szabadidejében.